先说问题。使用Wireshark工具、Microsoft Edge浏览器,抓取TCP数据包,网络封包分析窗口如下所示:
很意外地,发现有52.114.77.164与168.63.202.111这两个IP地址的报文。
我们的源主机IP地址为192.168.0.101,目的服务器IP地址为128.119.245.12,我们要分析的三次握手过程、数据包传输过程应该在这两个IP之间,很明显52.114.77.164与168.63.202.111这两个IP地址干扰了我们的分析。
我们知道,IP地址可以作为域名使用(域名本身就对应着IP地址),所以我们首先尝试能否登录这两个IP地址对应的网址。
并不能。我们换种思路,查证一下这两个IP地址的归属。
破案了,这两个IP地址均归属于微软。这说明我的电脑正在向微软传递数据,推测原因出自Windows 10系统默认开启的客户体验改善计划传输了TCP报文。另一个可能的原因是,Microsoft Edge浏览器也向微软发送了用户的使用数据。根据自己的了解,Windows 客户体验改善计划将收集硬件配置以及用户使用软件和服务的相关信息并上传。
首先关闭客户体验改善计划。我们在运行中输入gpedit.msc,打开本地组策略编辑器。
按照下图,找到关闭 Windows 客户体验改善计划。
观察到当前处于未配置状态。
将其改为“已启用”,之后点击确定。现在,我们已经关闭了Windows客户体验改善计划。捕获报文,发现已经不存在52.114.77.164。
接下来,在Microsoft Edge浏览器的设置中,找到了可能收集数据的选项,如下图。
观察到,Microsoft Edge浏览器会自动向微软发送数据,且该功能是无法关闭的。因此,切换到IE浏览器。IE大法好。
最后,再次启动Wireshark捕获报文。结果如下,问题解决。
做个总结:
52.114.77.164:Windows 10用户体验改善计划
168.63.202.111:Microsoft Edge收集用户数据并发送
这两个IP地址具体是什么可能因机器而异,以上提供了一个排查的思路。如果这篇文章对你有帮助,请给博主点个赞吧!